Em um sistema Solaris 10 eu tenho que entregar conexões ssh (e outras informações relacionadas à autenticação) são registradas em
/var/log/auth.log
por exemplo.
Oct 10 15:15:46 solbase sshd[1481]: [ID 800047 auth.info] Accepted publickey for iain from 192.168.254.188 port 52197 ssh2
é uma conexão minha para uma máquina Solaris 10 e
Oct 10 15:17:33 solbase sshd[1481]: [ID 800047 auth.info] Received disconnect from 192.168.254.188: 11: disconnected by user
é uma desconexão da mesma máquina.